2008-жылы мен IT компаниясына бара алдым. Ар бир кызматкердин ичинде кандайдыр бир туура эмес чыңалуу болгон. Себеби жөнөкөй болуп чыкты: уюлдук телефондор кеңсенин кире беришиндеги кутуда, артында камера, кеңседе 2 чоң кошумча “караган” камера жана клавиатурасы менен мониторинг программасы бар. Ооба, бул SORM же учактын жашоосун камсыз кылуу системаларын иштеп чыккан компания эмес, жөн гана бизнес-тиркеме программасын иштеп чыгуучу, азыр сиңип калган, талкаланган жана жок (бул логикалуу көрүнөт). Эгерде сиз азыр сунуп жаткан болсоңуз жана офисиңизде гамактар жана вазаларда M&M бар, бул, албетте, андай эмес деп ойлосоңуз, анда сиз абдан жаңылышыңыз мүмкүн - бул жөн гана 11 жыл ичинде башкаруу көзгө көрүнбөгөн жана туура болууга үйрөнгөн, эч кандай каршылыктарсыз. сайттарга кирип, тасмаларды жүктөгөн.
Демек мунун баары болбосо чындап эле мүмкүнбү, бирок адамдарга болгон ишеним, берилгендик, ишеним жөнүндө эмне айтууга болот? Ишенсеңер да, ишенбесеңер да, коопсуздук чаралары көрүлбөгөн көптөгөн компаниялар бар. Бирок кызматкерлер бул жерде да, бул жерде да баш аламандыкка жетишишет - жөн гана адам фактору сиздин компанияңызды эмес, дүйнөнү жок кыла алат. Демек, сиздин кызматкерлер кайдан бузукулукка чейин жете алышат?
Бул өтө олуттуу пост эмес, анын так эки функциясы бар: күнүмдүк жашоону бир аз көрктөндүрүү жана көп учурда унутулуп кала турган негизги коопсуздук нерселерди эсиңизге салуу. О, дагы бир жолу эскертип коёюн — Мындай программалык камсыздоо коопсуздуктун чеги эмеспи? 🙂
Кокус режимде кетели!
Сырсөздөр, сырсөздөр, сырсөздөр...
Сиз алар жөнүндө айтып жатасыз жана кыжырдануунун толкуну пайда болот: бул кантип болсун, алар дүйнөгө көп жолу айтышты, бирок баары бар! Бардык деңгээлдеги компанияларда, жеке ишкерлерден тартып, трансулуттук корпорацияларга чейин, бул абдан ооруган жер. Кээде мага эртең чыныгы Өлүм жылдызын куруп коюшса, админ панелинде админ/админ деген нерсе болот окшойт. Ошентип, биз VKontakte жеке баракчасы корпоративдик аккаунтка караганда алда канча кымбат болгон жөнөкөй колдонуучулардан эмнени күтсөк болот? Бул жерде текшерүү үчүн пункттар болуп саналат:
- Паролдорду кагаз беттерине, клавиатуранын арткы бетине, мониторго, клавиатуранын астындагы столго, чычкандын түбүндөгү стикерге жазуу (куулук!) - кызматкерлер эч качан мындай кылбашы керек. Түшкү тамактануу учурунда коркунучтуу хакер келип, 1Стин баарын флешка жүктөп алганы үчүн эмес, кеңседе таарынган Саша болушу мүмкүн, анткени ал жумушун таштап, ыплас иштерди кылып же маалыматты акыркы жолу алып кетмекчи. . Эмне үчүн кийинки түшкү тамактанууга болбойт?
Бул эмне? Бул нерсе менин бардык сырсөздөрүмдү сактайт
- ЖКга жана жумуш программаларына кирүү үчүн жөнөкөй сырсөздөрдү коюу. Туулган даталар, qwerty123 жана атүгүл asdf корпоративдик коопсуздук тутумуна эмес, тамашаларга жана башоргго тиешелүү айкалыштар. Паролдорго жана алардын узундугуна талаптарды коюп, алмаштыруу жыштыгын белгилеңиз.
Сырсөз ич кийим сыяктуу: аны тез-тез алмаштырыңыз, досторуңуз менен бөлүшпөңүз, узуну жакшыраак, сырдуу болуңуз, ар жакка чачырабаңыз.
- Сатуучунун демейки программасына кирүү сырсөздөрү туура эмес, эгерде сатуучунун дээрлик бардык кызматкерлери аларды билишсе жана булуттагы веб-негизделген система менен иш алып барсаңыз, эч кимге маалыматтарды алуу кыйынга турбайт. Айрыкча, эгер сизде тармак коопсуздугу "шунду тартпаңыз" деңгээлинде болсо.
- Кызматкерлерге операциялык тутумдагы сырсөз кыйытмасы “менин туулган күнүм”, “кызымдын аты”, “Gvoz-dika-78545-ap#1! англисче." же "кварттар жана бир жана нөл."
Менин мышык мага сонун сырсөздөрдү берет! Ал менин клавиатурамда басып баратат
Иштерге физикалык жетүү
Сиздин компанияңыз бухгалтердик эсепке жана кадрдык документтерге (мисалы, кызматкерлердин жеке делосуна) кирүүнү кантип уюштурат? Ойлоп көрөйүн: эгерде бул чакан бизнес болсо, анда бухгалтерияда же начальниктин кабинетинде текчелердеги папкаларда же шкафта; эгерде бул чоң бизнес болсо, анда текчелердеги кадрлар бөлүмүндө. Бирок, эгерде ал абдан чоң болсо, анда баары туура болот: магниттик ачкычы бар өзүнчө кеңсе же блок, ал жерге белгилүү бир кызматкерлер гана кире алат жана ал жакка жетүү үчүн алардын бирине телефон чалып, алардын катышуусунда бул түйүнгө кирүү керек. Кандайдыр бир бизнесте мындай коргоону жасоонун кыйын эч нерсеси жок, же жок дегенде кеңсенин сейфинин сырсөзүн эшикке же дубалга бор менен жазууну үйрөнүү (баары реалдуу окуяларга негизделген, күлбөңүз).
Бул эмне үчүн маанилүү? Биринчиден, жумушчулар бири-бири жөнүндө эң жашыруун нерселерди: үй-бүлөлүк абалы, айлык акысы, медициналык диагнозу, билими ж.б. Бул кызматтык атаандаштыкта ушундай компромисс болуп саналат. Дизайнер Петя дизайнер Алисадан 20 миңге аз акча табаарын билгенде пайда боло турган чыр-чатактар сизге такыр эле пайда алып келбейт. Экинчиден, ал жерде кызматкерлер компаниянын финансылык маалыматына (баланс, жылдык отчеттор, келишимдер) кире алышат. Үчүнчүдөн, бир нерсе жөн эле жоголушу, бузулушу же уурдалышы мүмкүн, бул адамдын өзүнүн эмгек тарыхындагы изин жашыруу үчүн.
Бирөө жоготуу, бирөө байлык болгон кампа
Эгерде сиздин кампаңыз болсо, анда эртеби-кечпи кылмышкерлерге кезигишиңизге кепилдик берерин эске алыңыз - бул жөн гана адамдын психологиясы ушундай иштейт, ал көп көлөмдөгү продукцияны көрүп, азын-оолак көп нерсе тоноо эмес, деп бекем ишенет. бөлүшүү. Ал эми бул үймөктөн товардын бирдиги 200 миң, же 300 миң, же бир нече миллион болот. Тилекке каршы, уурулукту педантикалык жана толук контролдоо жана эсепке алуудан башка эч нерсе токтото албайт: камералар, штрих-коддорду колдонуу менен кабыл алуу жана эсептен чыгаруу, складдык эсепти автоматташтыруу (мисалы, биздин складдык эсеп менеджер жана жетекчи товардын склад аркылуу кыймылын реалдуу убакытта көрө ала тургандай уюштурулган).
Ошондуктан, кампаңызды тишке чейин куралдандырыңыз, тышкы душмандан физикалык коопсуздукту жана ички коопсуздуктан толук коопсуздукту камсыз кылыңыз. Транспорт, логистика, кампалардагы кызматкерлер көзөмөл бар экенин, ал иштеп жатканын жана өздөрүн жазалай жаздаарын так түшүнүшү керек.
*эй, колуңарды инфраструктурага киргизбегиле
Эгерде сервердик бөлмө жана тазалоочу айым жөнүндөгү окуя мурунтан эле жашап кетсе жана башка тармактардын жомокторуна көптөн бери көчүп кеткен болсо (мисалы, ошол эле палатадагы вентилятордун мистикалык өчүрүлүшү жөнүндө), анда калгандары чындык бойдон кала берет. . Чакан жана орто бизнестин тармактык жана IT коопсуздугу көп нерсени каалагандай калтырат, жана бул көбүнчө сиздин системалык администраторуңуз же чакырылганыңыздан көз каранды эмес. Акыркысы көбүнчө андан да жакшыраак күрөшөт.
Анда бул жердеги кызматкерлер эмнеге жөндөмдүү?
- Эң жагымдуу жана зыянсыз нерсе - сервердик бөлмөгө баруу, зымдарды тартуу, карап көрүү, чай төгүү, топурак салуу же бир нерсени өзүңүз конфигурациялоого аракет кылуу. Бул өзгөчө "ишенимдүү жана өнүккөн колдонуучуларга" таасир этет, алар өз кесиптештерине антивирусту өчүрүүнү жана компьютерде коргоону айланып өтүүнү баатырдык менен үйрөтүшөт жана алар сервердик бөлмөнүн тубаса кудайлары экенине ишенет. Жалпысынан алганда, ыйгарым укуктуу чектелген мүмкүнчүлүк сиздин баары болуп саналат.
- Жабдууларды уурдоо жана тетиктерин алмаштыруу. Сиз өзүңүздүн компанияңызды жакшы көрөсүзбү жана биллинг системасы, CRM жана башка бардык нерселер кемчиликсиз иштеши үчүн бардыгы үчүн күчтүү видеокарталарды орноттуңузбу? Абдан жакшы! Куу жигиттер (кээде кыздар да) аларды оңой эле үй моделине алмаштырышат, ал эми үйдө алар жаңы кеңсе моделинде оюндарды ойношот - бирок дүйнөнүн жарымы билбейт. Бул клавиатуралар, чычкандар, муздаткычтар, UPSтер жана аппараттык конфигурацияда кандайдыр бир жол менен алмаштырылышы мүмкүн болгон бардык нерселер менен болгон окуя. Натыйжада, сиз мүлккө зыян келтирүү, аны толук жоготуу тобокелдигин көтөрөсүз, ошол эле учурда сиз маалыматтык системалар жана тиркемелер менен иштөөдө керектүү ылдамдыкты жана сапатты албайсыз. Конфигурацияланган конфигурация башкаруусу бар мониторинг системасы (ITSM системасы) сактайт, ал бузулбас жана принципиалдуу система администратору менен толук камсыз кылынышы керек.
Балким, сиз жакшыраак коопсуздук тутумун издегиңиз келеби? Бул белги жетиштүү экенине ишенбейм
- Өзүңүздүн модемдериңизди, кирүү чекиттериңизди же кандайдыр бир жалпы Wi-Fi'ды колдонуу файлдарга кирүү мүмкүнчүлүгүн азыраак коопсуз кылат жана иш жүзүндө көзөмөлдөнбөйт, бул чабуулчулар тарабынан (анын ичинде кызматкерлер менен тил табышуу менен) пайдаланылышы мүмкүн. Мындан тышкары, кызматкердин "өз интернети бар" YouTube, юмордук сайттар жана социалдык тармактарда иштөө убактысы алда канча жогору.
- Сайттын администратор аймагына кирүү үчүн бирдиктүү сырсөздөр жана логиндер, CMS, колдонмо программалык камсыздоо - бул эпсиз же зыяндуу кызматкерди кармалгыс өч алуучуга айланткан коркунучтуу нерселер. Эгер сизде бир эле ички тармактан бир эле логин/парол менен 5 адам кирсе, баннер коюуга, жарнамалык шилтемелерди жана метрикаларды текшерип, макетти оңдоп, жаңыртууну жүктөсө, алардын кайсынысы кокусунан CSSти айлантканын эч качан биле албайсыз. ашкабак. Ошондуктан: ар кандай логиндер, ар кандай сырсөздөр, аракеттерди каттоо жана кирүү укуктарын дифференциациялоо.
- Кызматкерлер жумуш убактысында бир нече сүрөттөрдү түзөтүү же хоббиге байланыштуу бир нерсе түзүү үчүн өз компьютерлерине сүйрөгөн лицензиясыз программалык камсыздоо жөнүндө айтуунун кажети жок. Борбордук ички иштер башкармалыгынын “К” бөлүмүн текшерүү тууралуу уккан жоксуңарбы? Анан ал сага келет!
- Антивирус иштеши керек. Ооба, алардын айрымдары сиздин компьютериңизди жайлатып, кыжырыңызды келтириши мүмкүн жана жалпысынан коркоктуктун белгиси сыяктуу сезилиши мүмкүн, бирок кийинчерээк токтоп калуу же, андан да жаманы, уурдалган маалыматтар менен төлөөдөн көрө, анын алдын алуу жакшы.
- Тиркемени орнотуунун кооптуулугу жөнүндө операциялык тутумдун эскертүүлөрү этибарга алынбашы керек. Бүгүнкү күндө жумуш үчүн бир нерсени жүктөп алуу секунданын жана мүнөттүн маселеси. Мисалы, Direct.Commander же AdWords редактору, кээ бир SEO талдоочу ж.б. Эгер Yandex жана Google өнүмдөрүндө бардыгы аздыр-көптүр түшүнүктүү болсо, анда дагы бир пикрейзер, бекер вирус тазалагыч, үч эффекти бар видео редактор, скриншоттор, Skype жазгычтар жана башка "кичинекей программалар" жеке компьютерге да, компаниянын бүт тармагына да зыян келтириши мүмкүн. . Системалык администраторду чакырып, "баары өлдү" деп айтуудан мурун колдонуучуларды компьютер алардан эмне каалап жатканын окууга үйрөтүңүз. Кээ бир компанияларда маселе жөн эле чечилет: көптөгөн жүктөлүп алынган пайдалуу утилиталар тармактын үлүшүнө сакталат жана ылайыктуу онлайн чечимдердин тизмеси да ошол жерде жайгаштырылат.
- BYOD саясаты же тескерисинче, иш жабдууларын кеңседен тышкары пайдаланууга уруксат берүү саясаты коопсуздуктун өтө жаман жагы. Бул учурда технологияга жакындары, достору, балдары, коомдук корголбогон тармактары ж.б.у.с. Бул нукура орус рулеткасы - сиз 5 жылга барып, жеңе аласыз, бирок бардык документтериңизди жана баалуу файлдарыңызды жоготуп же зыянга учурашыңыз мүмкүн. Мындан тышкары, эгерде кызматкердин кара ниет ниети бар болсо, анда "жөө басуу" жабдуулары менен маалыматтарды ачыкка чыгаруу үчүн эки байт жөнөтүү оңой. Сиз ошондой эле кызматкерлердин жеке компьютерлеринин ортосунда файлдарды өткөрүп беришерин эстен чыгарбашыңыз керек, бул дагы коопсуздук боштуктарын жаратышы мүмкүн.
- Сиз жокто түзмөктөрүңүздү кулпулоо - корпоративдик жана жеке колдонуу үчүн жакшы адат. Дагы бир жолу, бул коомдук жайларда кызыккан кесиптештер, тааныштар жана бузуучулардан коргойт. Буга көнүү кыйын, бирок иштеген жеримдин биринде мен эң сонун окуяга туш болдум: кесиптештерим кулпусу ачылбаган компьютерге жакындап калышты жана Paint бүт терезеде “Компьютерди кулпулайт!” деген жазуу менен ачылды. жана жумушта бир нерсе өзгөрдү, мисалы, акыркы сордурулган монтаж талкаланды же акыркы киргизилген мүчүлүштүк жок кылынды (бул тестирлөө тобу болгон). Бул ырайымсыз, бирок 1-2 жолу абдан жыгачтар үчүн жетиштүү болду. Бирок, мен ойлойм, IT эмес адамдар мындай юморду түшүнбөшү мүмкүн.
- Бирок эң жаман күнөө, албетте, системанын администраторуна жана башкаруусуна жүктөлөт - эгерде алар жол кыймылын көзөмөлдөө тутумдарын, жабдууларды, лицензияларды ж.б. колдонбосо.
Бул, албетте, база, анткени IT инфраструктурасы токойго канчалык алыс болсо, отун ошончолук көп боло турган жер. Ал эми ар бир адамда ушундай база болушу керек жана "биз баарыбыз бири-бирибизге ишенебиз", "биз үй-бүлөбүз", "кимге керек" деген сөздөр менен алмаштырылбашы керек - тилекке каршы, бул азырынча.
Бул интернет, балам, алар сен жөнүндө көп нерсени билиши мүмкүн.
Мектептеги жашоонун коопсуздугу курсуна Интернетти коопсуз иштетүүнү киргизүүгө убакыт келди - бул биз сырттан кирген чаралар жөнүндө эмес. Бул, атап айтканда, шилтемени шилтемеден айырмалоо, фишинг кайда жана алдамчылык кайда экенин түшүнүү, тааныш эмес даректен "Элдештирүүнүн отчету" темасы менен электрондук почта тиркемелерин ачуу эмес, ж.б. Мунун баарын мектеп окуучулары өздөштүрсө да, кызматкерлер өздөштүрө элек. Бир эле учурда бүткүл компанияга коркунуч келтире турган көптөгөн амалдар жана каталар бар.
- Социалдык тармактар - бул Интернеттин жумуш орду жок бөлүгү, бирок 2019-жылы аларды компаниянын деңгээлинде бөгөттөө популярдуу эмес жана мотивациялоочу чара болуп саналат. Ошондуктан, сиз жөн гана бардык кызматкерлерге шилтемелердин мыйзамсыздыгын кантип текшерүү керектигин жазып, алдамчылыктын түрлөрү жөнүндө айтып, жумушта иштөөнү суранышыңыз керек.
- Почта - маалыматты уурдоонун, зыяндуу программаларды отургузуунун жана компьютерди жана бүт тармакты жугузуунун эң популярдуу жолу. Тилекке каршы, көптөгөн жумуш берүүчүлөр электрондук почта кардарын үнөмдөөчү курал деп эсептешет жана күнүнө 200 спам электрондук каттарды алып, чыпкалардан ж.б. Ал эми кээ бир жоопкерсиз адамдар мындай каттарды жана тиркемелерди, шилтемелерди, сүрөттөрдү ачышат - сыягы, алар кара ханзаада аларга мурас калтырган деп үмүттөнүшөт. Андан кийин администратордун иши көп. Же ушинтип ойлогонбу? Айтмакчы, дагы бир катаал окуя: бир компанияда системалык администраторго ар бир спам кат үчүн KPI кыскарган. Жалпысынан алганда, бир айдан кийин эч кандай спам жок - практика башкы уюм тарабынан кабыл алынган, ал эми дагы эле спам жок. Биз бул маселени кооз чечтик - биз өзүбүздүн электрондук почта кардарыбызды иштеп чыктык жана аны өзүбүздүн кардарга орноттук , ошондуктан биздин бардык кардарларыбыз да ушундай ыңгайлуу функцияны алышат.
Кийинки жолу сиз кагаз кычкач белгиси менен кызыктай электрондук кат алганыңызда, аны баспаңыз!
- Мессенджерлер ошондой эле ар кандай кооптуу шилтемелердин булагы болуп саналат, бирок бул почтага караганда алда канча азыраак жаман (чаттарда сүйлөшүүгө кеткен убакытты эсепке албаганда).
Мунун баары майда-барат нерселер окшойт. Бирок, бул кичинекей нерселердин ар бири каргашалуу кесепеттерге алып келиши мүмкүн, өзгөчө, эгерде сиздин компанияңыз атаандаштын чабуулунун бутасы болсо. Жана бул түзмө-түз ар бир адам менен болушу мүмкүн.
Сүйлөшкөн кызматкерлер
Бул адамдык фактор, андан арылуу сиз үчүн кыйын болот. Кызматкерлер коридордо, кафеде, көчөдө, кардардын үйүндө ишти талкуулай алышат, башка кардар жөнүндө катуу сүйлөй алышат, жумуштагы жетишкендиктер жана үйдөгү долбоорлор жөнүндө сүйлөшө алышат. Албетте, артыңда атаандаштын болуу ыктымалдыгы жокко эсе (эгерде сен ошол эле бизнес-борбордо болбосоң - бул болгон), бирок жигиттин өзүнүн бизнесин ачык айтып жатканы смартфонго тартылып, жайгаштырылат. YouTube, таң калыштуусу, жогору. Бирок бул да шылдың. Кызматкерлериңиз тренингдерде, конференцияларда, жолугушууларда, профессионалдык форумдарда, жада калса Habré сайтында өнүм же компания жөнүндө маалыматты даярдуулук менен сунуштаса, бул куру сөз эмес. Анын үстүнө, адамдар атаандаштык чалгындоо жүргүзүү үчүн атайылап ушундай сүйлөшүүлөргө оппоненттерин чакырышат.
Ачык окуя. Галактикалык масштабдагы бир IT конференциясында секциянын спикери чоң компаниянын IT инфраструктурасын уюштуруунун толук диаграммасын слайдга келтирди (жогорку 20). Схема мега таасирдүү, жөн гана космостук, дээрлик бардыгы аны сүрөткө тартып алышкан жана ал ошол замат социалдык тармактарда жаркыраган сын-пикирлерге ээ болгон. Анда спикер аларды геотегдерди, стенддерди, социалдык медианы колдонуп кармап алды. аны жайгаштыргандардын жана өчүрүүнү сурангандардын тармактары, анткени алар ага бат эле чалып, ах-та-та дешти. Чаткыч – шпион үчүн кудайдын берген сыйы.
Билимсиздик... жазадан бошотот
Касперский лабораториясынын 2017-жылдагы глобалдык отчетуна ылайык, 12 айдын ичинде киберкоопсуздук инциденттерине дуушар болгон ишканалардын эң олуттуу инциденттеринин ар бир онунун бири (11%) этиятсыз жана маалыматсыз кызматкерлерге тиешелүү.
Кызматкерлер корпоративдик коопсуздук чаралары жөнүндө баарын билет деп ойлобоңуз, аларды сөзсүз түрдө эскертиңиз, тренингдерди өткөрүңүз, коопсуздук маселелери боюнча кызыктуу мезгилдүү маалымат бюллетендерин түзүңүз, пицца үстүндө жолугушууларды өткөрүп, маселелерди кайра тактаңыз. Ооба, сонун лайфхак - бардык басылган жана электрондук маалыматты түстөр, белгилер, жазуулар менен белгилеңиз: коммерциялык сыр, сыр, расмий колдонуу үчүн, жалпы жеткиликтүүлүк. Бул чындап иштейт.
Заманбап дүйнө компанияларды өтө назик абалга келтирди: кызматкердин жумушта талыкпай иштебестен, фондо/танапис учурунда көңүл ачуучу мазмунду алуу жана корпоративдик коопсуздуктун катуу эрежелеринин ортосундагы тең салмактуулукту сактоо зарыл. Эгер сиз гиперконтролдук жана акылсыз көз салуу программаларын (ооба, ката эмес - бул коопсуздук эмес, бул паранойя) жана артыңыздагы камераларды күйгүзсөңүз, анда кызматкерлердин компанияга болгон ишеними төмөндөйт, бирок ишенимди сактоо да корпоративдик коопсуздук куралы болуп саналат.
Ошондуктан, качан токтош керек экенин билип, кызматкерлериңизди сыйлаңыз жана резервдик көчүрмөлөрдү жасаңыз. Эң негизгиси, жеке паранойияга эмес, коопсуздукка артыкчылык бериңиз.
Эгер сизге керек болсо жана алардын мүмкүнчүлүктөрүн сиздин максаттарыңыз жана милдеттериңиз менен салыштырыңыз. Эгерде сизде кандайдыр бир суроолор же кыйынчылыктар болсо, жазыңыз же чалыңыз, биз сиз үчүн жеке онлайн презентацияны уюштурабыз - рейтингсиз же коңгуроосуз.
, анда, жарнамасыз, биз CRM жана бизнес жөнүндө толугу менен расмий эмес нерселерди жазабыз.
Source: www.habr.com